[資安小常識] 什麼是跨網站指令碼XSS攻擊?

 

跨網站指令碼XSS (Cross-site scripting)攻擊,是一種針對網站應用程式設計不夠嚴謹所導致的安全弱點攻擊行為;最原始的弱點是允許攻擊者將惡意程序植入網頁中,導致使用者瀏覽網頁時,受到不同程度的影響,如在背景中下載惡意程序,後門開啟或是密碼與個人資料之竊取。

XSS

近期新聞事件中常見之XSS攻擊,雖然是針對同樣的弱點進行攻擊,但採用了不同的運作方式;其原理是讓使用者存取經過特殊設計的網址(該網站本身具有XSS弱點);使用者存取時瀏覽器中除了原先正常網站的頁面會出現之外,也會出現設計惡意網址的作者預計呈現的物件(如影片,圖片,文字)或是希望達成的目標;這樣的運作模式對網站本身並不會造成影響,但是卻同樣可以利用使用者對某些知名網站的信任,而導致遭受感染,攻擊等相關事件。由於設計該類惡意位址之門檻不高,製作時間降低但效果卻更為顯著,因此已經逐漸成為惡意攻擊者的新寵。

XSS2

XSS3

目前使用者針對跨網站指令碼XSS (Cross-site scripting)攻擊最有效的自我保護之道,就是謹慎選擇使用瀏覽器進行網路存取;微軟的IE8是目前少數針對該類型攻擊,能夠主動提供相當程度保護並警告使用者所遇到風險的瀏覽器。

想獲得更多資訊?參考更多資安小常識

讓我們瞭解一下資安小常識對您的幫助,請按下面的星星評分。